Cisco Cisco Email Security Appliance C170 사용자 가이드
12-5
Cisco AsyncOS 9.1 for Email 사용 설명서
12 장 안티바이러스
McAfee Anti-Virus 필터링
니다. 이메일 보안 기능, 즉 Mail Policies(메일 정책) > Incoming or Outgoing Mail Policies(수신 또는
발송 메일 정책) 페이지(GUI)나
발송 메일 정책) 페이지(GUI)나
policyconfig -> antivirus
명령(CLI)을 사용하여 수신자별로 설정
을 구성합니다. 이러한 설정 구성에 대한 자세한 내용은
McAfee Anti-Virus 필터링
McAfee® 검사 엔진은 다음을 수행합니다.
•
파일의 데이터와 바이러스 서명의 패턴 일치를 통해 파일을 검사합니다.
•
에뮬레이트된 환경에서 바이러스 코드의 암호를 해독하고 해당 코드를 실행합니다.
•
추론 기술을 적용하여 새 바이러스를 인식합니다.
•
파일에서 감염 코드를 제거합니다.
관련 주제
•
•
•
•
바이러스 시그니처 패턴 일치
McAfee는 검사 엔진에 안티바이러스 정의(DAT) 파일을 사용하여 특정 바이러스, 바이러스 유형
또는 사용자 동의 없이 설치된 소프트웨어를 탐지합니다. 또한, 파일의 알려진 위치를 시작으로 바
이러스 시그니처를 검색하여 단순 바이러스를 탐지할 수 있습니다. 주로 파일의 일부만 검색하여
파일에 바이러스가 없는지 확인합니다.
또는 사용자 동의 없이 설치된 소프트웨어를 탐지합니다. 또한, 파일의 알려진 위치를 시작으로 바
이러스 시그니처를 검색하여 단순 바이러스를 탐지할 수 있습니다. 주로 파일의 일부만 검색하여
파일에 바이러스가 없는지 확인합니다.
암호화된 다형성 바이러스 탐지
복합 바이러스는 널리 통용되는 두 가지 기술을 사용해 서명 검사 바이러스 탐지를 회피합니다.
•
암호화. 바이러스 내의 데이터는 암호화되어 있으므로 안티바이러스 스캐너는 바이러스의 컴
퓨터 코드 또는 메시지를 인식할 수 없습니다. 바이러스가 활성화되면 스스로 동작하는 버전
으로 변환한 후 실행됩니다.
퓨터 코드 또는 메시지를 인식할 수 없습니다. 바이러스가 활성화되면 스스로 동작하는 버전
으로 변환한 후 실행됩니다.
•
다형성. 이 프로세스는 바이러스가 스스로 복제하여 모양을 바꾼다는 점을 제외하면 암호화와
비슷합니다.
비슷합니다.
이러한 바이러스에 대응하기 위해 엔진은 에뮬레이션 기술을 사용합니다. 엔진이 파일에 바이러
스가 있다고 의심하면 인위적 환경을 만들어 바이러스가 스스로 디코딩되고 그 실체가 드러날 때
까지 아무런 영향 없이 실행됩니다. 그 다음, 이 엔진은 평소와 같이 바이러스 시그니처를 검사하
여 바이러스를 식별할 수 있습니다.
스가 있다고 의심하면 인위적 환경을 만들어 바이러스가 스스로 디코딩되고 그 실체가 드러날 때
까지 아무런 영향 없이 실행됩니다. 그 다음, 이 엔진은 평소와 같이 바이러스 시그니처를 검사하
여 바이러스를 식별할 수 있습니다.